सीओआरएस का उपयोग करते समय सीएसआरएफ को रोकना?

Question

मैं एक बुकमार्कलेट बना रहा हूं ताकि कोई उपयोगकर्ता किसी भी पेज से सीओआरएस का उपयोग करके मेरे सर्वर पर डोमेन पोस्ट पार कर सके। पोस्टिंग से पहले उपयोगकर्ता को प्रमाणित करना होगा और कुकीज़ का उपयोग किया जाता है। क्या किसी दुर्भावनापूर्ण वेबसाइट को उपयोगकर्ता के क्रेडेंशियल का उपयोग करके अपने सर्वर पर क्रॉस डोमेन पोस्ट करने के लिए अपने वेबपृष्ठ में जावास्क्रिप्ट कोड को इम्बेड करने से रोकने का कोई तरीका है?

Answer 1

सिद्धांत रूप में, इसके लिए एक समाधान हो सकता है।

1. प्रत्येक उपयोगकर्ता के बुकमार्कलेट में एक अद्वितीय सीएसआरएफ टोकन एम्बेड करें।
2. किसी अज्ञात फ़ंक्शन में बुकमार्कलेट में कोड लपेटें, इसलिए पृष्ठ तक इसकी पहुंच नहीं होगी।
3. अपने बुकमार्कलेट में a strong hash function एम्बेड करें। इसे पूरी तरह से बुकमार्कलेट कोड के भीतर रखा जाना चाहिए, यह सुनिश्चित करने के लिए कि इसे छेड़छाड़ नहीं किया जा सके।
4. अपने XMLHttpRequest में, आप भेजें:
   1. संदेश
   2. के हैश:
      1. संदेश
      2. आपका CSRF टोकन
      3. एक अनूठा, लंबे समय से नमक
      4. एक UserID
      5. एक टाइमस्टैम्प (बस यह सुनिश्चित करने के लिए कि संदेश अब भेजा गया था और दूसरी बार नहीं)
   3. नमक
   4. टाइमस्टैम्प
   5. उपयोगकर्ता ID
5. अपने सर्वर पर, आप को मान्य: टाइमस्टैम्प अनुमति त्रुटि मार्जिन (जो आवश्यक है के भीतर है
   1. ऐसा इसलिए है क्योंकि किसी उपयोगकर्ता के कंप्यूटर घड़ी बंद हो सकती है)
   2. कि हैश सही है
6. यदि सब कुछ सही है, तो आप संदेश पोस्ट कर सकते हैं।

इस अवधारणा के साथ एक दोष है: अगर एक वेबसाइट बुकमार्कलेट (जैसे Array() के रूप में) द्वारा इस्तेमाल किया कार्यों से किसी के साथ छेड़खानी, दुर्भावनापूर्ण वेबसाइट पर अभी भी, अवरोधन कॉपी और/या संदेश संशोधित करने में सक्षम हो सकता है , यूजर आईडी या सीएसआरएफ टोकन।